石油销售系统的信息安全管理系统设计

　　一、引言

　　在信息技术高速发展的今天,几乎社会的各行各业都在借助信息化的力量,不断提高其业务水平、加速业务创新、逐步提高自身的核心竞争力.特别是在石油销售领域,全球化的发展更加活跃、更加充分,已到达了"牵一发而动全局"的局面.但是,应当看到,虽然众多石油销售体系对信息技术的依赖程度越来越高,并且信息化、数字化发展模式给石油销售体系带来越来越多的机遇和便利,但同时,石油销售中信息安全也成为日益突出的重大问题;如果现有销售信息网络系统的安全性、完整性、保密性等潜在缺陷被利用,这将会给企业,甚至国家的石油战略带来难以估计的重大损失.因此,石油销售的信息安全成为石油销售体系中的重大经营风险之一,亟待对石油销售企业中的现有信息网络系统展开全面、系统、科学地分析,着力构建完善的石油销售信息安全管理体系.

　　二、石油销售系统的信息安全管理现状

　　1.销售系统设施建设.硬件方面,各石油销售企业都具有设施完善的中心计算机系统,供电采用UPS方式,采用"双机热备"的核心服务器工作模式,以确保整个硬件的可靠性和安全性;网络方面,采用SDH光纤接入广域网,包括接入层、汇聚层、核心层.核心层中路由器和交换机采用双机模式,设备之间,层层之间以光纤方式连接,以均衡网络负载.除了安装必备的防火墙,部分企业为进一步提高安全防范能力还安装了外网入侵检测系统;大多数加油站采用SSL VPN方式访问企业内部网,以保证网络接入的安全性.在PC系统方面,大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统,实现PC机的MAC地址绑定.

　　2.销售系统信息化建设.目前,企业的销售信息系统主要包括:加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、ERP系统等.信息系统具有如下特点:一是用户众多,几乎所有企业管理人员都是各系统用户;二是应用领域广,涉及企业经营、管理、对外服务诸多方面; 三是要求连续运转,如ERP系统必须满足7×24小时运转.由于信息系统的安全运转不仅关系到企业经营管理的可持续性,其数据的安全性和保密性更关系到广大客户的利益.所以,基于上述的原因,企业对销售信息系统的安全运转提出了更高的要求.

　　3.销售系统的信息安全现状.石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统,国家对其信息安全高度重视,并在《2006 - 2020年国家信息化发展战略》中强调,我国要全面加强国家信息安全保障体系的建设,大力增强国家信息安全保障能力,实现信息化建设与信息安全保障的协调发展.同时,国内石油销售企业也长期重视信息安全工作,逐步建立了相应的保障体系和规章制度,但还存在以下问题:

　　(1)范围涉及广泛.石油销售企业分支机构多,终端运营组织庞大且分散,以中石油集团为例,其截至2013年分布在全国的加油站已超过30000座.在如此庞大的销售系统中,信息网络承载着指导业务运行的重要功能.大量、分散部署的加油终端,必然会造成联网方式的多样化、网络环境的复杂化.

　　(2)设备系统众多.石油销售企业信息化管理系统中所涉及的设备精度髙、技术要求深,并且范围广泛,包括加油站、油库等大量的自动化控制系统.因此,业务管理流程复杂,安全风险增大.

　　(3)人员素质不齐.由于石油销售属于传统行业,因此企业人员年龄跨度较大,对信息安全管理的职业组织参差不齐;甚至对于企业管理人员,对于信息安全的认识也多停留在纸上谈兵;基层人员众多,且直接面对客户,流动性大,信息泄露风险极高.而且新生代的企业员工对计算机和网络接触早,应用水平高,日常使用频繁,在缺乏网络安全防护意识的情况下更易导致信息泄漏,甚至在好奇心理的鼓动下主动发起网络攻击行为,所以企业内网安全也成为一个突出的问题.

　　(4)资金投入有限.国外企业在信息安全方面的资金投入达到了企业整体基建的5%-20%,而我国企业基本都在2%以下.全世界每年因信息安全方面的漏洞导致的经济损失达数万亿美元,中国的损失也达到了一百亿美元以上,但是中国企业在这方面的投资只有几十亿美元.因此,我国企业整体信息化安全建设预算不足.石油企业信息化工程是一项繁重的任务,需要在信息安全方面有更大的投入.大型油企需要建立复杂庞大的数据库备份体系,建立并维护高效的网络杀毒系统、企业级防火墙、IDS、 IPS系统和完善的补丁更新及发放机制,以保证企业各方面的数据安全.建立这一复杂的系统需要大量的资金投入,而且其投入回报慢,因此石油企业普遍轻视这方面的投入和维护,信息安全建设相对于企业的发展整体滞后.

　　三、石油销售系统的信息安全管理系统设计

　　石油销售系统的信息安全管理系统是一个程序化、系统化、文件化的管理体系,以预防控制为主,强调动态全过程控制.建立相应的信息安全管理系统,需要从物理、信息、网络、系统、管理等多方面保证整体安全;建立综合防范机制,确保销售信息安全以及加油卡、EPR等电子销售系统的可靠运行,保障整体信息网络的安全、高效、可靠运转,规避潜在风险,供系统的可靠性和安全性.因此,石油销售系统的信息安全管理系统构架分为以下组成:

　　(1)组织层面.石油销售部门应建立责任明确的各级信息安全管理组织,包括信息安全委员会、信息安全管理部门,并通过设立信息安全员,指定专人专项负责.通过这些部门和负责人开展信息安全认知宣传和培训,提高企业员工对信息安全重要性的认识.

　　(2)制度层面.制定安全方针、安全管理制度、安全操作规程和突发事件应急预案等一系列章程,经科学性审核和测试后下发各级部门,提升企业的信息安全管理的效能,减少事故发生风险,提高应急响应能力.

　　(3)执行层面.信息安全管理部门应当定期检查和随机抽查相结合,监督安全制度在各级部门的执行情况,评估安全风险,负责PDCA的循环控制.

　　(4)技术层面.信息安全管理部门要提供安全管理、防护、控制所需的技术支持,全面保障企业整体信息安全管理系统建设.通常信息安全技术分为物理安全、网络安全、主机安全、终端安全、数据安全以及应用安全等六个方面,主要包括监控与审核跟踪,数据备份与恢复,访问管理与身份认证,信息加密与加固等具体技术措施.通过有效的信息安全管理平台和运作平台,在最短时间内对信息安全事件进行响应处理,保障信息安全管控措施的落实,实现信息安全管理的目标.

　　总而言之,建立信息安全管理体系,保障信息安全是目前石油销售中的重要环节,要在战略上侧重管理,在战术上侧重技术,保持信息安全管理体系能够有效长久运行.

　　参考文献:

　　[1]都骏.石油企业信息安全评价方法的研究[J].科技管理研究,2012(18):208.

　　[2]苗园.现代企业信息安全风险的防范[J].信息技术与信息化,2013(5):21.